2022APP安全评测指导手册.docx

上传人:王** 文档编号:1268647 上传时间:2024-06-06 格式:DOCX 页数:33 大小:367.43KB
下载 相关 举报
2022APP安全评测指导手册.docx_第1页
第1页 / 共33页
2022APP安全评测指导手册.docx_第2页
第2页 / 共33页
2022APP安全评测指导手册.docx_第3页
第3页 / 共33页
2022APP安全评测指导手册.docx_第4页
第4页 / 共33页
2022APP安全评测指导手册.docx_第5页
第5页 / 共33页
2022APP安全评测指导手册.docx_第6页
第6页 / 共33页
2022APP安全评测指导手册.docx_第7页
第7页 / 共33页
2022APP安全评测指导手册.docx_第8页
第8页 / 共33页
2022APP安全评测指导手册.docx_第9页
第9页 / 共33页
2022APP安全评测指导手册.docx_第10页
第10页 / 共33页
亲,该文档总共33页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《2022APP安全评测指导手册.docx》由会员分享,可在线阅读,更多相关《2022APP安全评测指导手册.docx(33页珍藏版)》请在优知文库上搜索。

1、APP安全评测指导手册2022一、敏感数据暴露3(一) 明文传输用户名、密码和验证码等敏感信息3(二) 不安全的本地存储5(三) 泄漏后台服务器地址,导致服务器可控6(四) 边信道信息泄漏6二、鉴权机制缺陷8(五)未使用有效的token机制,导致可以绕过鉴权8(六)传输数据可修改,造成越权访问9卜七)登录设计缺陷,存在被暴力破解风险10(八)利用业务逻辑缺陷制作短信炸弹13三、钓鱼劫持风险15(九)关键页面存在钓鱼劫持风险,导致用户信息泄露15四、代码保护不足16(十)可以重新编译打包16(H)WebVieW漏洞17(十二)Web表单设计缺陷,存在SQ1.注入漏洞18五、公共组件漏洞20(十三

2、)组件ContentProvider配置错误,导致数据泄漏20(十四)组件ACtiVity配置错误,导致登录页面被绕过21(十五)组件SerViCe配置错误,导致非法权限提升22(十六)组件BrOadCaStReCeiVer配置错误,导致拒绝服务、非法越权23六、应用配置错误24(十七)开启allowbackup备份权限,存在备份数据泄露风险24(十八)开启DebUggabIe属性,存在应用信息篡改泄露风险26七、XCOdeGhOSt病毒26(十九)下载非官方开发工具,导致IOS版本APP被植入恶意代码.26八、开发者证书不规范29(二十)开发者证书不规范,导致开发者身份信息不明29一、敏感数

3、据暴露(一)明文传输用户名、密码和验证码等敏感信息整改优先级:高问题描述:用户登录过程中,在与服务器端交互时明文传输用户名、密码或者验证码等,可导致用户敏感信息泄露。检查方法和步骤:1.对模拟器进行设置,从Setting开始设置依次选择moreMobilenetworksAccessPointNamesTeIKiIaPrOXy:修改IP地址为虚拟机的IP地址。SSS4Applse图1.模拟器设置5554AppUs图2.模拟器设置SSSAppUseAA10:11MobilenetworksettingsDataenabledEnabledataaccessowMobileUfwtworDatar

4、oamingConnecitodataBerViCCwhenroamingAccessPointNamesUseonly2Gnetworks5vesbAteyNetworkoperatorsCbOOMMWOffcOpfft1Of图3.模拟器设置555CAppUS10:12IIBAPNs:O00TeIKiIa.Itfwi的EEPlEEraJEnnFFfEEFBEEEEEraEQ的强墨弱黯图4.模拟器设置5SS4:AppUse图5.模拟器设置2.BurpSuite设置,在PrOXy选项页里的Options中进行设置,在Proxy1.isteners中增加虚拟机IP地址的8080端口。TargetP

5、rQIVJSPigrSomMertt1l11tfc甲HTTPhmorySoctUhmorOpUons4urpPrwyUtWortoHTTFrtMcfromyourbrows”youwtl11dt。corA9uf*yo$rbrowrtoucnGMInttnersttproytvtfIMtEcRttaHabccofBurpgnrMtM2SS1.co(ctiorH.YoucannvpeottcnfcMforustnchrtooHOfarrrtstaMMon0#Burp.ICAcrt4c”.interceptOIentRequesK5tfWtc9。(8KBrquttfirM18forf09M*8EGt

6、hfcfXtbmtrc4ptotmatch*9P*Jctill*I皿11.JOrRquttContamiPeflm.Orx11,m4d0tnomMh(90C)IIMdUR1.Hntr9tcop图6.BurpSuite设置3.利用BurpSuite对被测应用进行监听。确保BurpSuite上的“interceptisOn(监听是打开的)”。然后点击登陆.。登陆请求将被BUrPSUite监听拦截到。心哪SpderjScanw;mu*R即小式12mcrDcoefConpref;KeMyW63AJMS-:KnPhscy*%ketshistory;OPtxnS|/GRequesttohttps;0reg

7、.l63.co!R443(61.135.25(lX)IFCnBgrdJCropTierceftisonAcun,R三PyamSJHeaderSJHex(确1.jipTtype=!即Wta=16轴url=tepyAMFH7mm11xx1.16amPFetmaytE2Jetdcgd11kE873Dl02vwtoe7$D1%笫此供OQ3D226矶出依DM。兜幺=%D192168l依心/MdfMDttaartjmdrcdHTTBllHx:keep*leRererhftsBart4aaiH63.m/MrXfBartCx11em-1.eh:99CiAe-CxKwl:naxa5t三OOrgkct:1enac

8、t.mai1.1$3.ccmCrteni-TjT*:叩PhJiiXvXwwwfznurQcodMAne内m1.apphoticn!skD1.3pplitxxskO.9.t*isO.8X2exed-Wkh:cn.niitrCTrserUserAfitMM-,1.mnx;U;An)14.2.1;如,叫gwgkiBrd,B.MRl.lAppWtt10KH7MUIiktCoVfD4.0McbikSaftn湖觇Aat-MdDgtgzi.de!bteAcoept-1.uBe:enUSAmfi-Chartft:1df8l&4W91.UtGI6.;IXOI图7.BurpSuite设置检查工具:BurpSuit

9、e等抓包分析工具整改建议:在被测应用与服务器交互过程中,对用户名、密码和验证码等敏感信息进行加密传输。(一)不安全的本地存储整改优先级:高问题描述:安卓开发者使用多种方法将数据存储在安卓应用中,而存储在本地的数据文件如果未加密,易造成敏感信息泄漏。检查方法和步骤:1. SharedPreferences是用key-value来存储私有的原始数据的xml文件。数据类型有布尔型,浮点型,整形,长整型和字符串。通常情况下存储的路径为:datadatashared-prefso直接打开查看是否有敏感数据。2. SQ1.ite数据库是轻量级基于文件的数据库。这些文件通常以db或者sqlite结尾。安卓默

10、认提供了大量SQ1.ite支持。应用的数据库一般存储在下面的地方:datadatadatabases,可以使用SQ1.ite数据库直接打开查看是否有敏感数据。3. 检查SD卡目录中是否存在敏感数据。检查工具:SQ1.ite数据库整改建议:对存储在本地的数据文件进行加密。(三)泄漏后台服务器地址,导致服务器可控整改优先级:高问题描述:在使用BUrPSUite等工具对应用进行监听的过程中,发现后台服务器地址。对后台服务器进行测试,若后台服务器存在漏洞,则可控制后台服务器。检查方法和步骤:1 .利用BurpSuite对被测应用进行监听。确保BurpSUite上的interceptisOn(监听是打开

11、的)对监听到的数据包进行查看,是否有后台服务器地址。2 .如果发现后台服务器地址,则对其进行安全测试,检查其是否存在SQ1.注入、struts2等后台服务器漏洞。检查工具:BurpSuiteSQ1.注入检查工具、StnJtS2漏洞检查工具整改建议:对后台服务器进行安全加固,后台服务器需要按照中国移动相关安全规定进行配置,注意口令强度,后台配置页面原则上不能由公网随意访问等。(四)边信道信息泄漏问题描述:当APP处理用户或其它数据源输入的数据时,可能会把数据放在不安全的位置,容易导致边信道被攻击者利用造成信息泄露。检查方法和步骤:1. AndrOid提供的日志功能是一个会造成信息泄露的地方,日志

12、一般是开发者在开发期间调试使用的。查看日志的方式有两种:1)使用EdiPSe:在1.OgCat选项卡中看到应用运行期间输出的所有日志信息,其中可能就会有一些敏感信息。bktnsAJvd&c、DeUrM*onOComole01.09Ct:.:tPropertittSr9CSaACCfPFu9CotgIlrnltyoPCvw0tHKTnPIDTDAppbc4tonT9TBt042314:8:3.l.trpp105X9eotcr*4PMb-U-*cU.X04-2314:00:4.44144X6CQflUX*3ur1.OGTlCeavrelprwoE1p*vordSucoutput.txt,将日志保存到电脑本地,以便后期进一步分析。- Vverbose打印详细- ddebug打印调试级日志- Iinformation打印提示级日志- eerror打印错误级日志- Wwarning打印警告级日志beginninofZUvZloaZsyBtmlvlty6rvicth”HngIi;ervftce:Done.Svrvlce:Sellinti*orfor72facondunt*MdP4t*ordtpassIxiffinFa1ldI6e2mU,WHrBH11r-*ry5WrVt_Tlcc.oudIoScrvice:Sountf

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 手机开发

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!